KB4073119: Pokyny pro klienty Windows pro IT specialisty k ochraně před chybami zabezpečení postranního kanálu mikroarchitekturálního a spekulativního spouštění na bázi procesoru

14. května 2019 společnost Intel zveřejnila informace o nové podtřídě ohrožení zabezpečení spekulativního spuštění postranním kanálem označované jako microarchitectural Data Sampling. Tato ohrožení zabezpečení jsou řešena v následujících prostředích CVE:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Vzorkování dat ve vyrovnávací paměti mikroarchitetekturálního úložiště (MSBDS)

• CVE-2018-12127 | Vzorkování dat vyrovnávací paměti mikroarchitetektury (MFBDS)

• CVE-2018-12130 | Vzorkování dat portu mikroarchitetekturálního zatížení (MLPDS)

Vydali jsme aktualizace, které nám pomůžou tyto chyby zabezpečení zmírnit. K získání všech dostupných ochran se vyžaduje aktualizace firmwaru (mikrokódu) a softwaru. To může zahrnovat mikrokód z OEM zařízení. V některých případech bude mít instalace těchto aktualizací dopad na výkon. Zabezpečili jsme také naše cloudové služby. Důrazně doporučujeme nasadit tyto aktualizace.

Další informace o tomto problému najdete v následujících pokynech k zabezpečení a použijte doprovodné materiály založené na scénářích k určení akcí nezbytných ke zmírnění hrozby:

• ADV190013 | Pokyny Microsoftu ke zmírnění ohrožení zabezpečení mikroarchitekturálního vzorkování dat

• Pokyny pro Windows k ochraně před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem

6. srpna 2019 společnost Intel zveřejnila podrobnosti o ohrožení zabezpečení spočívající ve zpřístupnění informací jádra Windows. Tato chyba zabezpečení je variantou chyby zabezpečení spectre varianty 1 pro spekulativní spuštění postranním kanálem a byla jí přiřazena CVE-2019-1125.

9. července 2019 jsme vydali aktualizace zabezpečení pro operační systém Windows, které nám pomůžou tento problém zmírnit. Upozorňujeme, že jsme toto zmírnění rizik veřejně zdokumentovali až do koordinovaného zveřejnění informací od odvětví v úterý 6. srpna 2019.

Zákazníci, kteří služba Windows Update povolili a použili aktualizace zabezpečení vydané 9. července 2019, jsou chráněni automaticky. Není nutná žádná další konfigurace.

Další informace o této chybě zabezpečení a příslušných aktualizacích najdete v Průvodci aktualizacemi zabezpečení společnosti Microsoft:

• CVE-2019-1125 | Ohrožení zabezpečení spočívající ve zpřístupnění informací o jádru Windows

12. listopadu 2019 společnost Intel zveřejnila technické rady týkající se chyby zabezpečení asynchronního přerušení transakce intel TSX (Intel Transactional Synchronization Extensions), které je přiřazeno CVE-2019-11135. Vydali jsme aktualizace, které pomáhají zmírnit toto ohrožení zabezpečení. Ve výchozím nastavení je ochrana operačního systému povolená pro klientské edice operačního systému Windows.

14. června 2022 jsme publikovali ADV220002 | Pokyny microsoftu k chybám zabezpečení zastaralých dat procesoru Intel MMIO Chyby zabezpečení se přiřazují v následujících prostředích CVE:

• CVE-2022-21123 | Čtení dat sdílené vyrovnávací paměti (SBDR)

• CVE-2022-21125 | Vzorkování dat sdílené vyrovnávací paměti (SBDS)

• CVE-2022-21127 | Zvláštní aktualizace vzorkování dat vyrovnávací paměti registru (aktualizace SRBDS)

• CVE-2022-21166 | Částečný zápis registrace zařízení (DRPW)

Doporučené akce

K ochraně před těmito chybami zabezpečení byste měli provést následující akce:

1. Použijte všechny dostupné aktualizace operačního systému Windows, včetně měsíčních aktualizací zabezpečení Windows.

2. Použijte příslušnou aktualizaci firmwaru (mikrokódu), kterou poskytuje výrobce zařízení.

3. Vyhodnoťte rizika pro vaše prostředí na základě informací uvedených v tomto článku v informačních zpravodajích zabezpečení společnosti Microsoft ADV180002, ADV180012, ADV190013 a ADV220002.

4. Proveďte požadovanou akci pomocí informačních zpravodajů a informací o klíči registru, které jsou uvedeny v tomto článku.

Dne 12. července 2022 jsme publikovali CVE-2022-23825 | Záměna typu větve procesoru AMD, která popisuje, že aliasy v prediktoru větví můžou způsobit, že některé procesory AMD předpovídají nesprávný typ větve. Tento problém může potenciálně vést ke zpřístupnění informací.

V zájmu ochrany před tímto ohrožením zabezpečení doporučujeme nainstalovat aktualizace systému Windows, které jsou datovány k červenci 2022 nebo později, a pak provést akce podle požadavků CVE-2022-23825 a informace o klíči registru, které jsou uvedeny v tomto znalostní báze článku.

Další informace naleznete v bulletinu zabezpečení AMD-SB-1037 .

8. srpna 2023 jsme publikovali CVE-2023-20569 | Předpověď návratové adresy procesoru AMD (označovaná také jako Inception), která popisuje nový útok na spekulativní postranní kanál, který může vést ke spekulativnímu spuštění na adrese řízené útočníkem. Tento problém se týká některých procesorů AMD a může potenciálně vést ke zpřístupnění informací.

V zájmu ochrany před tímto ohrožením zabezpečení doporučujeme nainstalovat aktualizace systému Windows, které jsou datovány v srpnu 2023 nebo později, a pak provést akce podle požadavků cve-2023-20569 a informace o klíči registru, které jsou uvedeny v tomto článku znalostní báze.

Další informace naleznete v bulletinu zabezpečení AMD-SB-7005 .

9. dubna 2024 jsme publikovali CVE-2022-0001 | Intel Branch History Injection , která popisuje injektáž historie větví (BHI), což je specifická forma BTI v rámci režimu. K tomuto ohrožení zabezpečení dochází v případě, že útočník může manipulovat s historií větví před přechodem z režimu uživatele na režim správce (nebo z režimu VMX bez root nebo hosta na kořenový režim). Tato manipulace může způsobit, že prediktor nepřímé větve vybere konkrétní položku předpovědi pro nepřímou větev a přechodně se spustí miniaplikace pro zpřístupnění v předpovídaném cíli. To může být možné, protože příslušná historie větví může obsahovat větve převzaté v předchozích kontextech zabezpečení, a zejména v jiných režimech predikce.

Ve výchozím nastavení je ochrana mezi uživateli a jádrem pro CVE-2017-5715 zakázaná pro procesory AMD a ARM. Pokud chcete získat další ochranu pro CVE-2017-5715, musíte povolit zmírnění rizik. Další informace najdete v nejčastějších dotazech č. 15 v ADV180002 pro procesory AMD a v nejčastějších dotazech č. 20 v ADV180002 pro procesory ARM.

Ve výchozím nastavení je ochrana mezi uživateli a jádrem pro CVE-2017-5715 pro procesory AMD zakázaná. Zákazníci musí povolit zmírnění rizik, aby získali další ochranu pro CVE-2017-5715.  Další informace najdete v nejčastějších dotazech č. 15 v ADV180002.

Povolení zmírnění rizik pro CVE-2022-23825 na procesorech AMD :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Aby zákazníci mohli být plně chráněni, můžou také potřebovat zakázat Hyper-Threading (označované také jako SMT (Simultaneous Multi Threading). Pokyny k ochraně zařízení s Windows najdete v KB4073757. 

Povolení zmírnění chyby CVE-2023-20569 na procesorech AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Povolení zmírnění chyby CVE-2022-0001 na procesorech Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Podrobné vysvětlení výstupu skriptu PowerShellu najdete v tématu KB4074629.

Mikrokód se dodává prostřednictvím aktualizace firmwaru. Informace o dostupnosti příslušných aktualizací zabezpečení firmwaru pro konkrétní zařízení, včetně pokynů k revizi mikrokódu Společnosti Intel, byste měli zkontrolovat u svého procesoru (čipové sady) a výrobce zařízení.

Řešení ohrožení zabezpečení hardwaru prostřednictvím aktualizace softwaru představuje významné výzvy. Zmírnění rizik u starších operačních systémů také vyžadují rozsáhlé změny architektury. Spolupracujeme s výrobci čipů, kterých se to týká, abychom určili nejlepší způsob, jak poskytnout zmírnění rizik, která mohou být dodána v budoucích aktualizacích.

Aktualizace pro zařízení Microsoft Surface budou zákazníkům dodávány prostřednictvím služba Windows Update společně s aktualizacemi operačního systému Windows. Seznam dostupných aktualizací firmwaru zařízení Surface (mikrokódu) najdete v tématu KB4073065.

Pokud vaše zařízení nepochází od společnosti Microsoft, použijte firmware od výrobce zařízení. Další informace získáte od výrobce zařízení OEM.

V únoru a březnu 2018 microsoft vydal přidanou ochranu pro některé systémy založené na platformě x86. Další informace najdete v tématu KB4073757 a ADV180002 Rady microsoftu pro zabezpečení.

Aktualizace Windows 10 pro HoloLens jsou zákazníkům HoloLens k dispozici prostřednictvím služba Windows Update.

Po instalaci aktualizace Zabezpečení Windows z února 2018 nemusí zákazníci HoloLensu provádět žádné další akce k aktualizaci firmwaru zařízení. Tato zmírnění rizik budou také zahrnuta ve všech budoucích verzích Windows 10 pro HoloLens.

Ne. Pouze aktualizace zabezpečení nejsou kumulativní. V závislosti na verzi operačního systému, kterou používáte, budete muset instalovat každou měsíční aktualizaci pouze zabezpečení, aby byla chráněna před těmito chybami zabezpečení. Pokud například používáte Windows 7 pro 32bitové systémy na procesoru Intel, který se týká, musíte nainstalovat všechny aktualizace pouze zabezpečení. Doporučujeme instalovat pouze tyto aktualizace zabezpečení v pořadí podle vydání.

Poznámka V dřívější verzi těchto nejčastějších dotazů bylo nesprávně uvedeno, že únorová aktualizace zabezpečení obsahuje opravy zabezpečení vydané v lednu. Ve skutečnosti ne.

Ne. Aktualizace zabezpečení 4078130 byla specifická oprava, která zabránila nepředvídatelnému chování systému, problémům s výkonem nebo neočekávaným restartováním po instalaci mikrokódu. Použití únorových aktualizací zabezpečení v klientských operačních systémech Windows umožňuje všechna tři zmírnění rizik.

Společnost Intel nedávno oznámila, že dokončila ověření a začala vydávat mikrokód pro novější procesorové platformy. Společnost Microsoft zpřístupňuje aktualizace mikrokódu ověřené společností Intel v oblasti spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). KB4093836 uvádí seznam konkrétních článků znalostní báze Knowledge Base podle verze Windows. Každý konkrétní článek KB obsahuje dostupné aktualizace mikrokódů od společnosti Intel podle procesoru.

Tento problém byl vyřešen v KB4093118.

Společnost AMD nedávno oznámila, že začala vydávat mikrokód pro novější platformy procesoru v případě spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). Další informace najdete v dokumentech AMD Security Aktualizace a AMD White paper: Architecture Guidelines (Pokyny pro architekturu týkající se nepřímého řízení větví). Ty jsou k dispozici v kanálu firmwaru OEM.

Zpřístupňujeme aktualizace mikrokódu ověřené technologií Intel v oblasti spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). Aby zákazníci mohli prostřednictvím služba Windows Update získat nejnovější aktualizace mikrokódu Intel, musí mít před upgradem na aktualizaci Windows 10. dubna 2018 (verze 1803) nainstalovaný mikrokód Intel na zařízeních s operačním systémem Windows 10.

Aktualizace mikrokódu je také k dispozici přímo z katalogu, pokud nebyl mikrokód na zařízení nainstalovaný před upgradem operačního systému. Mikrokód Intel je k dispozici prostřednictvím služba Windows Update, WSUS nebo Katalogu služby Microsoft Update. Další informace a pokyny ke stažení najdete v tématu KB4100347.

Další informace najdete v následujících zdrojích informací:

• ADV180012 | Pokyny Microsoftu k obcházení spekulativního obchodu CVE-2018-3639

• ADV180013 | Pokyny společnosti Microsoft k registraci rogue system read pro CVE-2018-3640 a KB4073065

• Microsoft Security Research and Defense Blog

• Pokyny pro vývojáře pro spekulativní obejití storu

Podrobnosti najdete v částech Doporučené akce a Nejčastější dotazy v ADV180012 | Pokyny Microsoftu k spekulativnímu obejití obchodu

Aby bylo možné ověřit stav SSBD, aktualizoval se skript powershellu Get-SpeculationControlSettings, aby zjistil ovlivněné procesory, stav aktualizací operačního systému SSBD a stav mikrokódu procesoru, pokud je to možné. Další informace a informace o získání skriptu PowerShellu najdete v tématu KB4074629.

13. června 2018 byla oznámena další chyba zabezpečení týkající se spekulativního spuštění postranním kanálem, která se označuje jako lazy FP State Restore, a byla jí přiřazena cve-2018-3665. Pro opožděné obnovení obnovení FP není nutné žádné nastavení konfigurace (registru).

Další informace o této chybě zabezpečení a doporučených akcích najdete v článku Rady k zabezpečení ADV180016 | Pokyny Microsoftu pro opožděné obnovení stavu FP

10. července 2018 byla zveřejněna funkce Bounds Check Bypass Store (BCBS) a přiřazena cve-2018-3693. Považujeme BCBS za patřící do stejné třídy ohrožení zabezpečení jako bypass hraniční kontroly (varianta 1). V současné době nevíme o žádných instancích BCBS v našem softwaru, ale pokračujeme ve výzkumu této třídy ohrožení zabezpečení a budeme spolupracovat s partnery v oboru, aby podle potřeby uvolnili zmírnění rizik. Nadále vyzýváme výzkumné pracovníky, aby předložili veškerá relevantní zjištění do programu odměny pro spekulativní spuštění postranního kanálu microsoftu, včetně všech zneužitelných instancí BCBS. Vývojáři softwaru by si měli projít pokyny pro vývojáře, které byly aktualizovány pro BCBS na https://aka.ms/sescdevguide.

14. srpna 2018 byla oznámena chyba terminálu L1 (L1TF) a přiřazena více cve. Tato nová ohrožení zabezpečení proti spekulativnímu spuštění postranním kanálem lze použít ke čtení obsahu paměti přes důvěryhodnou hranici a v případě zneužití může vést ke zpřístupnění informací. Útočník by mohl aktivovat ohrožení zabezpečení prostřednictvím více vektorů v závislosti na nakonfigurovaných prostředích. L1TF ovlivňuje procesory Intel® Core a Intel® Xeon®®.

Další informace o této chybě zabezpečení a podrobné zobrazení ovlivněných scénářů, včetně přístupu Microsoftu ke zmírnění rizika L1TF, najdete v následujících zdrojích informací:

• ADV180018 | Pokyny Microsoftu ke zmírnění variantY L1TF

• Security Advisory Security Research Blog

• Doprovodné materiály serveru pro chybu terminálu L1

Zákazníci, kteří používají 64bitové procesory ARM, by měli požádat výrobce OEM zařízení o podporu firmwaru, protože ochrana operačního systému ARM64 zmírňují chybu CVE-2017-5715 | Injektáž cíle větve (Spectre, varianta 2) vyžaduje nejnovější aktualizaci firmwaru od OEM zařízení, aby se projevila.

Další informace najdete v následujících informačních zpravodajích pro zabezpečení. 

• Poradce společnosti Intel pro zabezpečení

• ADV190013 | Pokyny Microsoftu ke zmírnění ohrožení zabezpečení mikroarchitekturálního vzorkování dat

Další informace najdete v následujících informačních zpravodajích pro zabezpečení.

• Poradce společnosti Intel pro zabezpečení

• ADV190013 | Pokyny Microsoftu ke zmírnění ohrožení zabezpečení mikroarchitekturálního vzorkování dat

Další pokyny najdete v doprovodných materiálech pro Windows k ochraně před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem.

Pokud chcete chránit před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem, projděte si doprovodné materiály v doprovodných materiálech pro Windows.

Doprovodné materiály k Azure najdete v tomto článku: Pokyny ke zmírnění ohrožení zabezpečení spekulativního spouštění postranním kanálem v Azure.  

Další informace o povolení Retpoline najdete v našem blogovém příspěvku: Zmírnění rizik spectre varianty 2 pomocí Retpoline ve Windows. 

Podrobnosti o této chybě zabezpečení najdete v Průvodci zabezpečením společnosti Microsoft: CVE-2019-1125 | Ohrožení zabezpečení spočívající ve zpřístupnění informací o jádru systému Windows

Nejsme si vědomi žádného výskytu této chyby zabezpečení zpřístupnění informací, která by ovlivnila naši infrastrukturu cloudových služeb.

Jakmile jsme se o tomto problému dozvěděli, rychle jsme pracovali na jeho řešení a vydání aktualizace. Pevně věříme v úzká partnerství s výzkumnými pracovníky i partnery z oboru, aby se zákazníci více zabezpečili, a v souladu s koordinovanými postupy zveřejňování ohrožení zabezpečení jsme podrobnosti publikovali až v úterý 6. srpna.

Další pokyny najdete v pokynech pro Windows k ochraně před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem.

Další pokyny najdete v pokynech pro Windows k ochraně před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem.

Další pokyny najdete v tématu Pokyny k zakázání® funkce Intel Transactional Synchronization Extensions (Intel® TSX).

Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto kontaktní informace se můžou bez upozornění změnit. Nezaručujeme přesnost těchto kontaktních informací třetích stran.